Хакеры из Северной Кореи начали новую атаку с использованием вредоносного ПО NimDoor, нацеленную на криптофирмы, работающие на macOS.
Что такое NimDoor?
NimDoor — это новое вредоносное ПО, которое маскируется под обновления Zoom и распространяется через сообщения в Telegram и электронные приглашения. Жертвы получают фальшивую ссылку Calendly, которая загружает файл AppleScript, замаскированный тысячами пустых строк для скрытия своего кода. При выполнении сценарий устанавливает NimDoor на устройство.
Методы скрытности NimDoor
Основная угроза NimDoor заключается в его скрытности. Оно написано на языке Nim, который редко используется, что помогает коду избегать традиционного анализа безопасности. После установки NimDoor внедряется в другие процессы, использует зашифрованные каналы WebSocket для связи и сопротивляется удалению, переустанавливая себя, если его остановить. Также оно включает систему оповещения через AppleScript, посылая сигналы командным серверам каждые 30 секунд.
Что похищает NimDoor?
Основная цель NimDoor — похищение конфиденциальных данных крипто-компаний. Оно собирает:
* Пароли от браузеров Chrome, Brave, Firefox и других. * Содержимое Keychain macOS, включая сохраненные учетные данные. * Локальные базы данных Telegram и ключи шифрования. * Исторические команды терминала и системную информацию.
Это дает злоумышленникам возможность скомпрометировать криптокошельки, захватить учетные записи Telegram и украсть критически важные данные, оставаясь при этом незамеченными.
Атака вредоносного ПО NimDoor подчеркивает важность использования надежных источников для загрузки обновлений и постоянного мониторинга системы на наличие подозрительных приложений и активности.
